Il leader della cybersecurity illustra a OneCon 2024 le innovazioni in materia di AI e automazione, alimentate dai dati per trasformare le operazioni di sicurezza
SentinelOne (NYSE: S), leader a livello globale nella cybersecurity basata sull’intelligenza artificiale, ha presentato una suite di innovazioni progettate per attuare la rivoluzione dei Security Operation Center (SOC) autonomous. Realizzate sulla piattaforma di cybersecurity leader Singularity™ di SentinelOne, queste innovazioni consentono ai responsabili della sicurezza di ripensare e trasformare il modo in cui rispondono alle minacce emergenti per ridurre significativamente il rischio, accelerare il processo decisionale e permettere ai team di concentrarsi su iniziative ad alto impatto.
Presentate in occasione della OneCon 2024, la conferenza di SentinelOne dedicata ai clienti e ai temi della cybersecurity che si è svolta dal 15 al 17 ottobre a Las Vegas, sono innovazioni che definiscono nuovi standard per l’AI, l’automazione e i dati, rendendo una realtà la prospettiva del SOC che opera in modalità automatizzata:
- Singularity Hyperautomation – Automazione senza bisogno di codice per i workflow di sicurezza.
- Singularity AI SIEM – Acquisizione e sintesi di tutti i dati provenienti dall’ecosistema della sicurezza.
- Purple AI – Automazione del triage degli avvisi, della ricerca e delle indagini.
- Famiglia di modelli di sicurezza Ultraviolet di SentinelOne – Modelli linguistici di grandi dimensioni (LLM) e modelli multi-modali progettati per i casi d’uso dell’AI nella sicurezza informatica.
“Il futuro del rilevamento e della risposta alle minacce non può prescindere dalla velocità, dalla sofisticazione degli hacker e dalle difficoltà che devono affrontare i SOC di oggi, già sovraccarichi di lavoro”, ha dichiarato Ric Smith, President, Product, Technology, and Operations di SentinelOne. “Fin dalla nascita, SentinelOne è stata pioniera nell’uso dell’AI per automatizzare la risposta e la risoluzione delle minacce. Oggi stiamo rendendo la sfida del SOC autonomous una realtà, sfruttando la potenza dell’AI e dei dati, per fornire ai clienti la velocità, l’intelligenza e la scalabilità necessarie a contrastare le minacce di domani”.
Singularity Hyperautomation – Automazione no-code dei workflow di sicurezza
E’ una nuova soluzione di automazione intelligente sviluppata per risolvere i problemi di sicurezza dei clienti. Offre oltre 100 integrazioni e decine di workflow già pronti per affrontare le minacce IT più comuni, come la mitigazione dei ransomware, il monitoraggio della conformità degli asset e la risposta alle attività sospette degli utenti e alle minacce interne. Singularity Hyperautomation offre un framework drag-and-drop senza codice per la creazione di processi personalizzati e l’automazione di attività, oltre all’accesso senza codice a qualsiasi API per sfruttare i dati da qualsiasi sorgente IT o di sicurezza.
Integrata direttamente nella SentinelOne platform, Singularity Hyperautomation si collega ai processi di analisi, dove le automazioni vengono suggerite in modo intelligente durante le indagini. Beneficia della piattaforma e della Purple AI per generare automaticamente playbook basati sulle intuizioni dei colleghi, consentendo ai team di rispondere in modo più rapido ed efficiente. L’integrazione nativa con le funzionalità SIEM di Singularity relative a endpoint, cloud, identità e AI significa che non solo i team di sicurezza possono automatizzare la remediation delle minacce su più superfici di attacco, ma anche che tutti i dati di prima istanza e provenienti da terze parti presenti in Singularity vengono sfruttati per rispondere agli incidenti con maggiore contesto e minore complessità.
Singularity AI SIEM – Acquisizione e sintesi dei dati provenienti dall’intero security ecosistem
Presentato a clienti e partner di SentinelOne in occasione della OneCon 2024, Singularity AI SIEM (Security Information and Event Management) è un SIEM cloud-native e no-index che utilizza l’AI e le capacità di automazione per ridefinire il modo in cui operano gli analisti SOC. Alimentato dal Singularity Data Lake, altamente scalabile e dotato di uno storage sempre attivo, AI SIEM consente di rilevare in tempo reale i dati in streaming, accelerando notevolmente le indagini e la risposta.
Singularity AI SIEM è stato realizzato sulla base di un ecosistema aperto, in grado di acquisire dati strutturati e grezzi non solo dalle soluzioni di sicurezza endpoint, cloud e identità di SentinelOne, ma anche da strumenti di sicurezza e IT di terze parti, sfruttando l’Open Cybersecurity Schema Framework (OCSF) e le integrazioni predefinite. Di conseguenza, i clienti possono ottenere una visibilità immediata e ampliata sull’intero ambiente aziendale e automatizzare i flussi di lavoro tra più strumenti.
Inoltre, grazie all’AI SIEM e Purple AI, gli analisti della sicurezza possono sfruttare le capacità autonome di SentinelOne basate sull’AI per eseguire rilevamenti in tempo reale, ricerche e indagini assistite dall’AI generativa e una protezione a velocità di macchina contro le minacce emergenti.
Purple AI di SentinelOne – Automatizzare il triage degli avvisi, la ricerca e le indagini
L’analista di sicurezza Purple AI di SentinelOne ha stabilito lo standard per l’AI generativa nella cybersecurity fin dalla sua nascita. Integrato con tutti gli aspetti della Singularity Platform, Purple AI traduce le domande di sicurezza in linguaggio naturale e in query strutturate, sintetizza i log degli eventi e gli indicatori, guida gli analisti di tutti i livelli in indagini complesse e ottimizza la collaborazione con i notebook di indagine condivisi. Alla OneCon 2024, SentinelOne alza ulteriormente l’asticella dell’IA generativa con l’introduzione di nuove funzionalità di Purple AI progettate per automatizzare rapidamente le indagini, ridurre l’affaticamento da allerta e anticipare gli attacchi.
l nuovo Purple AI Auto-Alert Triage stabilisce la priorità degli avvisi più importanti e aiuta a stabilire rapidamente quali avvisi necessitano di ulteriori indagini. L’Auto-Alert Triage sfrutta la nuova Global Alert Analysis per valutare migliaia di avvisi simili anonimizzati per determinare meglio i veri positivi, e fa emergere gli “Avvisi da investigare” prioritari per ridurre l’affaticamento degli avvisi e restituire ai team di sicurezza il tempo per concentrarsi sulle attività più critiche che riducono il rischio.
Purple AI può ora essere utilizzato anche per avviare ed eseguire ricerche in autonomia per accelerare le indagini e la risposta. Con la nuova funzionalità di Purple AI Auto-Investigations, Purple AI prenderà gli avvisi prioritari, compilerà automaticamente un elenco di fasi di indagine in base all’avviso in questione, eseguirà autonomamente le fasi e genererà un verdetto consigliato. Le prove raccolte durante l’indagine vengono salvate in un quaderno di indagine Purple AI verificabile e collaborativo per ridurre in modo significativo i tempi di indagine e di reporting, offrendo ai team SOC e di risposta agli incidenti il vantaggio della velocità e della scala nell’affrontare le minacce critiche.
Presentazione della famiglia di modelli di sicurezza Ultraviolet di SentinelOne
Negli ultimi tre anni, i costi dei grandi modelli multi-modali di uso generale sono diminuiti in modo sostanziale, mentre la capacità di questi modelli è aumentata significativamente. Per le applicazioni di AI generativa legate alla security, questi modelli, abbinati a un’ampia conoscenza del dominio, si sono rivelati l’approccio migliore per creare esperienze di assistenza realmente utili nel settore della sicurezza. Tuttavia, ci sono ancora aree dell’AI legate alla cybersicurezza in cui i modelli proprietari avranno vantaggi decisivi.
Alla OneCon 2024, SentinelOne ha presentato Ultraviolet, la famiglia di LLM e modelli multi-modali per la security di SentinelOne che risolvono casi d’uso per la sicurezza e supportano meglio i flussi di lavoro necessari per ridurre significativamente il carico operativo.
Ultraviolet integrerà i migliori modelli generici, concentrandosi in modo specifico su aree uniche come il miglioramento dell’efficacia del rilevamento, utili a considerare un maggior numero di contesti in tempo reale, e il miglioramento dell’efficienza sui problemi di sicurezza, per consentire una maggiore autonomia in cui i modelli meglio sintonizzati rimangono attivi e richiedono un numero sostanzialmente inferiore di token per giungere a conclusioni utili.